[发明专利]面向地理大数据的分布式自适应访问控制方法

权利要求书

1.面向地理大数据的分布式自适应访问控制方法，具体步骤如下，其特征在于：

步骤1：首先对采集到的大批量维度广、构成复杂的地理空间数据进行初始化，进入步骤2；

步骤2：采用基于交叉模型的拓扑分析法将地理大数据实体分为时间、空间和属性三个特征，地理大数据实体用集合{A,B,...}表示，{t,s,a}分别表示地理大数据实体时间、空间及属性特征，{t,s,a}之间的关联关系可使用矩阵形式来表达，其中A_t,A_s,A_a和B_t,B_s,B_a分别表示地理大数据实体A和B的时间、空间及属性特征，进入步骤3；

步骤3：在知识图谱建模工具Protege的Class选项中构建地理大数据实体，之后构建时间、空间及地理大数据属性三大属性对象，并且在相应的属性对象中设置对应的参数名称，构造上述地理大数据实体在时间、空间和属性特征上的关联关系原型{{t₁,t₂,...,t_n},{l₁,l₂,...,l_n},{p₁₁,p₁₂,...,p_nn}}，进入步骤4；

步骤4：对Protege中得到的数据{{t₁,t₂,...,t_n},{l₁,l₂,...,l_n},{p₁₁,p₁₂,...,p_nn}}进行划分归类，进入步骤5；

步骤5：设训练集为U，共有n个样本集合，属性集为C，有c个不同的类；决策属性集合为D，将实例训练集合分为d个不同的类，D_i(i＝1,2,...,d)，每个类的个数为n_i，则D_i类在集合U中出现的概率为进入步骤6；

步骤6：根据概率P_i计算集合U划分d个类的信息熵为属性C相对实例训练样本集合U的信息增益为Gain(U,C)＝H(U)-H(U,C)，进入步骤7；

步骤7：使用信息增益作为训练样本集合的分裂度量标准，选择信息增益最大值的属性作为一个节点生成决策树对训练样本划分，所述属性使得划分样本分类所需的信息量最小，进入步骤8；

步骤8：设置期望错误率E(S)＝(N-n+k-1)/(N+K)，其中：S表示决策树的子树中所包含的所有训练例；k为分类的个数；N为S中所有训练例的个数；C为S中占比例最多的分类；n为S中属于C的个数，预备错误率为Error(Node)＝min(E(Node),ΣP_i*Error(Node_i))，进入步骤9；

步骤9：从决策树的第二层开始，每一层每个内节点进行判断，若所述节点的ΣP_i*Error(Node_i)大于E则用所述子树中出现比例最多的分类值作为叶子节点来代替所述子树，并将所述子树全部剪去，然后考虑同一层接下去的一个节点，若所述节点的ΣP_i*Error(Node_i)小于E，则用以上的方法考虑所述节点的每个子节点，以此类推，直到整棵树都被检查过，进入步骤10；

步骤10：对地理大数据的访问控制策略建立BD－ABAC模型，定义SAV_t、RAV_m、EAV_n、AAV_k分别为主体属性赋值集合，资源属性赋值集合，环境属性赋值集合，动作属性赋值集合，设置资源服务器，并且用户在第一次访问数据资源的时候，向安全认证机构申请安全证书，进入步骤11；

所述BD-ABAC模型是通过基于属性的细粒度访问控制方法，利用多域属性表同步技术，实现多域细粒度访问控制，BD－ABAC模型能够进行基于属性的细粒度授权决策，为了实现这一目标，BD－ABAC定义了一种细粒度的灵活授权方法，能够适应地理大数据环境下的资源跨域访问、实体属性动态变化，具体流程如下：

对地理大数据的访问控制策略建立BD－ABAC模型，定义SAV_t、RAV_m、EAV_n、AAV_k分别为主体属性赋值集合，资源属性赋值集合，环境属性赋值集合，动作属性赋值集合，设置资源服务器，并且用户在第一次访问数据资源的时候，向安全认证机构申请安全证书，终端用户在访问数据资源时，访问请求Req(SAV_t,RAV_m,EAV_n,AAV_k)被转发至域定位服务器，域定位服务器对主体属性和资源属性进行分析，判断所述资源的访问请求是本地域访问还是跨域访问，如果是跨域访问请求，域定位模块则根据资源属性快速查找相应的资源域，并转发访问请求，采用基于属性的访问控制方法对终端用户的访问请求Req(SAV_t,RAV_m,EAV_n,AAV_k)进行策略判定，并将判定结果发送到策略执行点，各数据资源域根据属性策略集合相应的合并算法，为策略判断提供可靠依据，域定位服务器将访问请求转发至相应的资源域，所述资源域的决策机构对所述访问请求进行判定并将结果返回至终端用户，实现开放共享环境下地理时空大数据的安全访问；

步骤11：终端用户在访问数据资源时，访问请求Req(SAV_t,RAV_m,EAV_n,AAV_k)被转发至域定位服务器，域定位服务器对主体属性和资源属性进行分析，判断所述资源的访问请求是本地域访问还是跨域访问，如果是跨域访问请求，域定位模块则根据资源属性快速查找相应的资源域，并转发访问请求，进入步骤12；

步骤12：采用基于属性的访问控制方法对终端用户的访问请求Req(SAV_t,RAV_m,EAV_n,AAV_k)进行策略判定，并将判定结果发送到策略执行点，各数据资源域根据属性策略集合相应的合并算法，为策略判断提供可靠依据，进入步骤13；

步骤13：域定位服务器将访问请求转发至相应的资源域，所述资源域的决策机构对所述访问请求进行判定并将结果返回至终端用户，实现开放共享环境下地理时空大数据的安全访问，进入步骤14；

步骤14：循环结束。